Cerballiance va exploiter les données d’une partie de ses patients dans un entrepôt

Les entrepôts de données de santé existent depuis des années en France. Selon les chiffres fournis par le ministère de la Santé, on en comptait une centaine au 1^er janvier 2025. Leurs objectifs sont toujours les mêmes : rassembler une vaste quantité de données « à des fins de pilotage (gestion, contrôle et administration de l’activité) et de recherches, d’études, d’évaluations dans le domaine de la santé ».

Aussi, l’annonce de Cerballiance pourrait sembler n’être qu’un EDS de plus dans la liste des entrepôts officiels et autorisés par la CNIL. La Commission fournit d’ailleurs un référentiel pour la création de ces structures. Pour obtenir l’autorisation d’ouvrir l’EDS, « l’organisme responsable de ce traitement est tenu de documenter sa conformité au RGPD et au référentiel dans son registre des activités de traitement ».

À quoi doit servir cet entrepôt de données ?

L’EDS annoncé par Cerballiance ne concerne pas l’ensemble des clients. Dans la longue annonce de l’entreprise, on peut ainsi lire que seuls 24 laboratoires sont concernés. Bien que Cerballiance ne le précise pas, il pourrait s'agir d'un début, même si une montée en puissance nécessiterait une nouvelle autorisation de la CNIL. La société indique que l’EDS reprendra les données précédemment générées depuis le 1^er janvier 2023 et y ajoutera toutes celles collectées à compter du 1^er septembre prochain.

Les objectifs de l’EDS de Cerballiance se répartissent en deux catégories. D'abord, pour « améliorer la santé de chacun », via la compréhension qu’impliquent les traitements envisagés : statistiques plus fiables que dans le cadre d'essais cliniques traditionnels, recherches sur des données à grande échelle, etc. Cette mission, de type service public, doit faciliter le suivi et la surveillance épidémiologique pour les autorités de santé. L’EDS doit également profiter à des organismes de recherche publics, comme l’Institut Pasteur, l’INSERM ou encore les étudiants en thèse de médecine.

Sur le site de Cerballiance, on trouve plusieurs exemples de projets de recherches. On peut y voir que les responsables de traitement sont potentiellement nombreux.

Des intérêts privés

Il y a ensuite une composante privée. Cerballiance cite plusieurs exemples : « Des fournisseurs de kits de diagnostic souhaitant en améliorer les performances, des industriels du médicament devant surveiller l’efficacité d’un traitement au sein de la population générale ou encore une start-up développant un nouveau marqueur de diagnostic pour l’endométriose ».

L’exploitation des données doit ainsi faire avancer la recherche et les pratiques médicales ou à tout le moins permettre des études de faisabilité sur ces recherches. Cerballiance ajoute à l’exploitation privée une dimension de « meilleure connaissance » des patients, pour proposer des « tests les plus adaptés à leurs besoins ». Sur ce point, l’entreprise évoque seulement la production d’indicateurs pour le pilotage stratégique de l’activité des laboratoires.

De manière générale, ces objectifs sont classiques dans le contexte des EDS. La constitution de l’entrepôt européen EMC2, sous l’égide du Health Data Hub français, en abordait par exemple plusieurs, dont l’efficacité des traitements à des fins de pilotage, à destination notamment de l’agence européenne du médicament.

Les données concernées

Selon Cerballiance, les données seront de deux types. D’abord, les informations directement identifiantes : nom, prénom, adresse postale, date de naissance et les coordonnées de contact (essentiellement e-mail et numéro de téléphone). Ce sont, en d’autres termes, les informations administratives.

Seul un petit nombre de personnes strictement habilitées est censé pouvoir y accéder. Selon Cerballiance, il faut avoir une habilitation de niveau administrateur ou être un chercheur interne, à des fins de pré-screening (repérage des patients pouvant correspondre à la cible d’une étude) ou de prise de contact (nous y reviendrons).

Viennent ensuite les données de santé proprement dites. Elles sont pseudonymisées uniquement et ne sont, en tant que telles, pas directement identifiables (nous y reviendrons également). C’est le cœur sensible de l’entrepôt, puisque ces informations renvoient directement au parcours médical des personnes : examens de biologie médicale, antécédents, données cliniques diverses, informations sur les traitements, voire régime alimentaire dans certains cas. Elles sont à la fois couvertes par le secret médical et considérées comme « sensibles » par le RGPD.

Dualité du système

Si la communication de Cerballiance parait claire et détaillée, elle témoigne également d’une certaine dualité. Cet EDS reste avant tout le projet d’une entreprise privée qui, si elle compte contribuer à la santé publique, a également ses propres objectifs.

La principale pierre d’achoppement réside dans la sécurité des données et leur confidentialité. Cerballiance indique par exemple que les informations sont stockées en Europe. Elle ne donne cependant aucune autre précision, les patients pouvant témoigner un intérêt pour le pays où sont stockées leurs données.

Et alors que ce stockage devrait assurer la résistance aux lois étrangères à portée extraterritoriale (en premier lieu celles des États-Unis), Cerballiance indique que les données peuvent « faire l’objet d’un accès à distance depuis un tel pays dans des cas très limités, notamment dans le cadre de prestations de maintenance de l’EDS réalisées par l’un de nos sous-traitants ». L’entreprise ajoute que cet accès se fait depuis « des pays reconnus par la Commission européenne comme assurant un niveau de protection équivalent à celui du RGPD ». Or, c’est officiellement le cas des États-Unis à travers le Data Privacy Framework. Une situation complexe, que le retour de Donald Trump a rendu encore plus opaque.

• Entre gouvernement Trump et manque d’efficacité du RGPD, noyb tire la sonnette d’alarme

À titre d’information, le site de Cerballiance est hébergé chez Amazon Web Services, mais l’espace client est confié à Atos.

Opt-out uniquement

Puisque l’on parle de données, les choix faits par Cerballiance sur la confidentialité peuvent également faire hausser quelques sourcils. Les données de santé ne sont ainsi que pseudonymisées, et non anonymisées. En outre, puisque l’entreprise évoque explicitement la possibilité de contacter la patientèle, le faisceau pointe vers un mécanisme pensé dès le départ pour la ré-identification.

Cependant, il y a deux « bons points » à noter. D’une part, les chercheurs accédant aux données ne verront que leurs versions pseudonymisées. D’autre part, ces accès se font au moyen de « bulles informatiques sécurisées » et les données ne sont jamais extraites de l’entrepôt. Dans le cas contraire, selon Cerballiance, les informations seraient obligatoirement anonymisées. Dans ce contexte, il faut rappeler que l'entreprise avait été victime d'une fuite de données par l'intermédiaire de « son prestataire informatique ».

Enfin, Cerballiance contacte actuellement les personnes concernées par son EDS (a priori tous les patients passés au cours des deux dernières années dans les 24 laboratoires visés), mais l’acceptation est automatique. Un opt-out (via ce formulaire) qui suppose que la patientèle verra l’information et aura le temps de s’opposer au traitement si elle le souhaite, puisqu’il reste moins d’un mois et demi. De même, il n’est rien précisé sur le contrôle que l’on pourra exercer lors du partage avec des acteurs privés, pas plus que sur la période rétroactive démarrant au 1^er janvier 2023.

Nous avons contacté Cerballiance, qui n’a pas encore répondu. Nous mettrons à jour cet article avec les réponses obtenues.